Nepārtraukta atbilstības uzraudzība NIS2 un DORA prasībām
Piektdienas pēcpusdienas jautājums, uz kuru tagad jāatbild katram informācijas drošības vadītājam
Piektdien plkst. 16.40 mākoņpakalpojumos balstītas maksājumu platformas informācijas drošības vadītājs desmit minūšu laikā saņem trīs ziņas.
Pirmā ir no finanšu direktora: “Mūsu bankas partneris vēlas atjauninātus pierādījumus, ka mēs izpildām DORA gaidas attiecībā uz IKT trešo pušu risku un incidentu ziņošanu.”
Otrā ir no juridiskā direktora: “Mūsu pārvaldītais drošības pakalpojums var mūs iekļaut darbības jomā saskaņā ar NIS2 nacionālo transponējumu. Vai varam pierādīt vadības pārraudzību un kontroles efektivitāti?”
Trešā ir no inženierijas vadītāja: “Kritisko ievainojamību esam novērsuši, bet darbu uzkrājumā ir 38 kavēti vidējas smaguma pakāpes konstatējumi. Vai mums tas jāeskalē?”
Tas ir brīdis, kad gada atbilstības modelis sabrūk.
Politikas PDF fails, riska reģistrs, kas pēdējo reizi atjaunināts pirms iepriekšējā audita, un ekrānuzņēmumu mape NIS2 un DORA vajadzībām vairs nav pietiekami. Šie regulējumi sagaida dzīvu pārvaldību, vadības pārraudzību, incidentu darbplūsmas, piegādātāju caurskatāmību, noturības testēšanu, korektīvās darbības un pierādāmu kontroles efektivitāti.
Daudziem informācijas drošības vadītājiem šis spiediens nav teorētisks. NIS2 transponēšana ES dalībvalstīs kiberdrošību ir pārvērtusi no tehniskas programmas par vadības pārskatatbildības jautājumu. DORA piemēro no 2025. gada 17. janvāra, un tā finanšu sektora subjektiem nosaka nozarei specifisku darbības noturības regulējumu IKT riskam, incidentu ziņošanai, testēšanai un trešo pušu riskam. Mākoņpakalpojumu, SaaS, pārvaldīto pakalpojumu, pārvaldītās drošības, datu centru, satura piegādes, uzticamības pakalpojumu un publisko elektronisko sakaru pakalpojumu sniedzējiem var būt arī tieši vai netieši pienākumi atkarībā no darbības jomas, lieluma, sektora, nacionālās klasifikācijas un klientu līgumiem.
Praktiskais jautājums vairs nav: “Vai mums ir kontroles pasākums?”
Tas ir: “Kam pieder kontroles pasākums, kāds rādītājs pierāda, ka tas darbojas, cik bieži mēs vācam pierādījumus, un kas notiek, ja rādītājs netiek sasniegts?”
Tas ir nepārtrauktas NIS2 un DORA atbilstības uzraudzības pamats. Clarysec ieviešanas projektos mēs izmantojam ISO/IEC 27001:2022 kā pārvaldības sistēmas mugurkaulu, ISO/IEC 27002:2022 kā kontroles pasākumu valodu, Zenith Blueprint: auditora 30 soļu ceļvedi kā ieviešanas secību un Zenith Controls: savstarpējās atbilstības ceļvedi kā savstarpējās atbilstības kompasu, kas sasaista ISO/IEC 27001:2022 pierādījumus ar NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 un audita gaidām.
Kāpēc NIS2 un DORA padara periodisku atbilstību nepietiekamu
NIS2 un DORA atšķiras pēc tiesiskās struktūras, uzraudzības modeļa un darbības jomas, taču abas rada vienādu operacionālo spiedienu. Kiberdrošība un IKT noturība jāpārvalda nepārtraukti.
NIS2 prasa būtiskajām un svarīgajām vienībām piemērot atbilstošus un samērīgus tehniskos, operacionālos un organizatoriskos pasākumus, izmantojot visu apdraudējumu pieeju. Šie pasākumi ietver riska analīzi, informācijas sistēmu drošības politikas, incidentu apstrādi, darbības nepārtrauktību, krīzes pārvaldību, piegādes ķēdes drošību, drošu iegādi un izstrādi, ievainojamību pārvaldību, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un daudzfaktoru autentifikāciju, ja tā ir piemērota. Vadības struktūrām ir jāapstiprina kiberdrošības risku pārvaldības pasākumi, jāuzrauga to ieviešana un jāsaņem apmācība.
DORA finanšu vienībām to padara vēl skaidrāku. Tā prasa iekšējās pārvaldības un kontroles kārtību IKT riskam, dokumentētu IKT risku pārvaldības ietvaru, vadības struktūras atbildību, ar IKT saistītu incidentu pārvaldību un ziņošanu, digitālās darbības noturības testēšanu, IKT trešo pušu risku pārvaldību, audita turpmāko rīcību, apmācību un komunikācijas kārtību. DORA arī skaidri nosaka, ka finanšu vienības saglabā atbildību par atbilstību, ja tās izmanto IKT trešo pušu pakalpojumu sniedzējus.
Tas rada jaunu atbilstības realitāti. Informācijas drošības vadītājs nevar gaidīt līdz audita mēnesim, lai atklātu, ka:
- priviliģētās piekļuves pārskatīšana nav veikta divus ceturkšņus;
- piegādātāju izstāšanās plāni ir dokumentēti, bet nekad nav testēti;
- incidentu smaguma pakāpes kritēriji nav sasaistīti ar regulatīvās ziņošanas sliekšņiem;
- rezerves kopijas ir konfigurētas, bet trūkst atjaunošanas pierādījumu;
- vadība nekad nav pārskatījusi kavētos riska apstrādes pasākumus;
- mākoņpakalpojumu līgumos trūkst audita tiesību, apakšuzņēmēju caurskatāmības vai klauzulu par paziņošanu incidenta gadījumā.
Vecais, uz projektiem balstītais modelis rada panikas ciklus. Komandas steidzas pirms audita, vāc ekrānuzņēmumus, atjaunina politiku datumus un cer, ka pierādījumi veidos saskanīgu stāstu. NIS2 un DORA ir izstrādātas tā, lai šāda pieeja izgāztos. Tās koncentrējas uz pārskatatbildību, samērīgumu, noturību un pierādījumiem par kontroles pasākumu darbību.
ISO/IEC 27001:2022 nodrošina šīs problēmas darbības sistēmu. Tā punkti prasa organizācijām izprast kontekstu, ieinteresētās puses, tiesiskās un līgumiskās prasības, darbības jomu, vadību, lomas, risku izvērtēšanu, riska apstrādi, piemērojamības deklarāciju (SoA), darbības plānošanu, veiktspējas izvērtēšanu, iekšējo auditu, vadības pārskatīšanu, neatbilstību pārvaldību un nepārtrauktu uzlabošanu. Šī struktūra ir piemērota NIS2, DORA, GDPR, klientu apliecinājumu un iekšējo risku apvienošanai vienā nepārtrauktas uzraudzības modelī.
Nepārtraukta atbilstība nav vairāk informācijas paneļu. Tā ir pārvaldīts pierādījumu periodiskums.
Veidojiet atbilstības dzinēju uz ISO/IEC 27001:2022 pamata
Daudzas organizācijas kļūdaini uztver ISO/IEC 27001:2022 tikai kā sertifikācijas ietvaru. Praksē tā ir risku pārvaldības sistēma, kas drošības pārvaldību padara atkārtojamu, izmērāmu un auditējamu.
Tas ir būtiski, jo NIS2 un DORA nav izolēti kontrolsaraksti. Tām ir nepieciešams darbības modelis, kas spēj uzņemt tiesiskās prasības, pārvērst tās kontroles pasākumos, piešķirt īpašumtiesības, uzraudzīt veiktspēju un uzlabot procesu, ja tiek konstatēti trūkumi.
Pamata ISO/IEC 27001:2022 punkti nodrošina šo modeli:
| ISO/IEC 27001:2022 punkts | Nepārtrauktas atbilstības mērķis | NIS2 un DORA vērtība |
|---|---|---|
| 4.1 Organizācijas un tās konteksta izpratne | Definē iekšējos un ārējos faktorus, kas ietekmē kiberdrošību un noturību | Fiksē regulatīvo ietekmi, biznesa atkarības, apdraudējumu vidi un operacionālo kontekstu |
| 4.2 Ieinteresēto pušu vajadzību un gaidu izpratne | Identificē regulatorus, klientus, partnerus, piegādātājus un juridiskos pienākumus | Ienes NIS2, DORA, GDPR, līgumus un uzraudzības gaidas ISMS |
| 4.3 ISMS darbības jomas noteikšana | Definē pakalpojumus, atrašanās vietas, tehnoloģijas, piegādātājus un biznesa robežas | Novērš regulētu IKT pakalpojumu un kritisku atkarību izkrišanu ārpus uzraudzības |
| 5.1 Vadība un apņemšanās | Prasa augstākās vadības pārskatatbildību un integrāciju biznesa procesos | Atbalsta vadības struktūras pārskatatbildību saskaņā ar NIS2 un DORA |
| 5.3 Organizatoriskās lomas, pienākumi un pilnvaras | Piešķir ISMS pienākumus un pilnvaras | Izveido atbildīgas kontroles pasākumu īpašumtiesības un eskalācijas ceļus |
| 6.1.3 Informācijas drošības riska apstrāde | Atlasa kontroles pasākumus un sagatavo piemērojamības deklarāciju (SoA) | Pārvērš pienākumus vienotā kontroles pasākumu ietvarā |
| 9.1 Uzraudzība, mērīšana, analīze un izvērtēšana | Prasa ISMS veiktspējas un efektivitātes uzraudzību | Atbalsta KPI, KRI un pierādījumu periodiskuma izstrādi |
| 9.2 Iekšējais audits | Pārbauda, vai ISMS atbilst prasībām un ir efektīvi ieviesta | Atbalsta neatkarīgu apliecinājumu un regulatīvo pamatojamību |
| 9.3 Vadības pārskatīšana | Sniedz vadībai informāciju par veiktspēju, risku, auditu un uzlabojumiem | Atbalsta valdes līmeņa pārraudzību un lēmumus |
| 10.1 Nepārtraukta uzlabošana | Prasa pastāvīgi uzlabot piemērotību, pietiekamību un efektivitāti | Pārvērš konstatējumus korektīvās darbībās un noturības uzlabojumos |
FinTech, SaaS pakalpojumu sniedzējam, pārvaldītās drošības pakalpojumu sniedzējam vai IKT piegādātājam finanšu vienībām šī struktūra novērš dublētus atbilstības projektus. Viena ISMS var vienreiz sasaistīt pienākumus ar kontroles pasākumiem un pēc tam atkārtoti izmantot pierādījumus NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019, ISO/IEC 27001:2022 sertifikācijai un klientu apliecinājuma pārskatīšanām.
Sāciet ar kontroles pasākumu īpašumtiesībām, nevis rīkiem
Pirmais kļūdu modelis nepārtrauktā atbilstībā ir rīku vadīta ieviešana. Uzņēmums iegādājas GRC platformu, importē simtiem prasību, visu piešķir “Drošībai” un nosauc to par nepārtrauktu uzraudzību. Pēc sešiem mēnešiem informācijas panelis ir sarkans, inženierija apstrīd ievainojamību pierādījumus, juridiskā funkcija norāda, ka piegādātāju dokumenti ir nepilnīgi, un vadība skaidri neredz atlikušo risku.
ISO/IEC 27001:2022 no tā izvairās, prasot piešķirt un komunicēt pienākumus un pilnvaras. NIS2 un DORA pastiprina to pašu gaidu ar vadības pārskatatbildību, definētām lomām un pārraudzību.
Clarysec Pārvaldības lomu un atbildību politika - SME nosaka:
Katra loma ar drošības atbildību ir jāreģistrē centrālajā žurnālā un rakstiski jāapliecina.
Šis punkts ir svarīgāks par lielāko daļu informācijas paneļu. Ja rezerves kopiju testēšanai, ievainojamību novēršanai, piegādātāju pienācīgajai pārbaudei, incidentu klasificēšanai un priviliģētās piekļuves pārskatīšanai nav vārdā nosauktu īpašnieku, uzticams pierādījumu periodiskums nav iespējams.
Informācijas drošības politika to padara operacionālu uzņēmuma vidēm:
Vākt un glabāt audita pierādījumus auditiem un kontroles pasākumu pārskatīšanai.
Tā arī prasa kontroles pasākumu īpašniekiem:
Ziņot ISMS vadītājam par kontroles veiktspēju un jebkādiem trūkumiem vai problēmām.
Zenith Controls šo tēmu tieši sasaista ar ISO/IEC 27002:2022 kontroles pasākumu 5.2 Informācijas drošības lomas un pienākumi, 5.35 Neatkarīga informācijas drošības pārskatīšana un 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem.
| ISO/IEC 27002:2022 kontroles pasākums, uz kuru atsaucas Zenith Controls | Loma nepārtrauktā atbilstībā | Kāpēc tas ir svarīgi NIS2 un DORA kontekstā |
|---|---|---|
| 5.2 Informācijas drošības lomas un pienākumi | Piešķir atbildīgos īpašniekus kontroles pasākumiem, pierādījumiem, KPI, KRI un eskalācijai | Atbalsta vadības pārraudzību, lomu skaidrību un operacionālo pārskatatbildību |
| 5.35 Neatkarīga informācijas drošības pārskatīšana | Pārbauda, vai uzraudzība ir objektīva, pilnīga un efektīva | Atbalsta NIS2 efektivitātes izvērtēšanu un DORA audita gaidas |
| 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem | Pārbauda, vai politikas, standarti un pienākumi tiek ievēroti | Pārvērš tiesiskos un līgumiskos pienākumus izmērāmās atbilstības pārbaudēs |
Zenith Blueprint sniedz praktisku sākumpunktu ISMS Foundation & Leadership posmā, 4. solī: lomas un pienākumi ISMS. Tas iesaka formālu iecelšanu, amata aprakstu atjaunināšanu, KPI saskaņošanu, komunikāciju visā organizācijā un atbildību struktūrvienību līmenī.
Tipisks iecelšanas ieraksts var būt šāds:
“Ar tūlītēju spēkā stāšanos jūs tiekat iecelts par Informācijas drošības speciālistu ar pienākumu pārraudzīt un koordinēt ISMS, tostarp risku pārvaldību, kontroles pasākumu ieviešanu un atbilstības uzraudzību.”
Šāda iecelšana nav birokrātija. Tas ir audita pierādījums ISO/IEC 27001:2022 vadībai un lomu piešķiršanai. Tas arī atbalsta NIS2 vadības pārraudzību un DORA pārvaldību. Regulatori, sertifikācijas auditori un banku klienti vēlas redzēt, ka atbildība nav pieņemta netieši. Tā ir piešķirta, apliecināta, nodrošināta ar resursiem un uzraudzīta.
Praktiskā kontroles pasākumu īpašumtiesību reģistrā jāiekļauj šādi lauki:
| Lauks | Piemērs | Audita vērtība |
|---|---|---|
| Kontroles pasākumu joma | Incidentu apstrāde | Parāda kontroles pārklājumu un darbības jomu |
| Regulatīvie virzītāji | NIS2 Article 23, DORA Articles 17 to 19 | Sasaista pierādījumus ar pienākumiem |
| ISO/IEC 27002:2022 atsauce | 5.24 to 5.30 | Sasaista operacionālo kontroles pasākumu ar ISMS |
| Īpašnieks | Drošības operāciju vadītājs | Nosaka pārskatatbildību |
| Aizvietotājs | SOC vadītājs | Samazina atkarību no vienas personas |
| KPI | 95 procenti augstas smaguma pakāpes brīdinājumu sākotnēji izvērtēti SLA ietvaros | Pierāda veiktspējas gaidas |
| KRI | Jebkurš nepārskatīts kritisks brīdinājums, kas vecāks par 4 stundām | Definē riska eskalāciju |
| Pierādījumu periodiskums | Iknedēļas informācijas panelis, ikmēneša pārskatīšana, ceturkšņa tests | Padara atbilstību nepārtrauktu |
| Pierādījumu atrašanās vieta | GRC pierādījumu bibliotēka | Nodrošina audita izgūšanu |
| Eskalācijas ceļš | ISMS vadītājs, Riska komiteja, vadības struktūra | Sasaista operācijas ar pārvaldību |
Šis reģistrs kļūst par tiltu starp politiku un pierādījumiem.
Definējiet KPI un KRI, kas pierāda kontroles efektivitāti
Kad īpašnieki ir noteikti, viņiem jāzina, kā izskatās “labi”. Nepārtrauktas atbilstības uzraudzība balstās uz jēgpilniem rādītājiem, nevis plašiem nodomiem.
“Uzlabot ielāpu uzstādīšanu” nav KPI. “Regulāri pārskatīt piegādātājus” nav pierādījums. “Uzturēt noturību” nav izmērāms kontroles pasākums.
Clarysec skaidri nošķir divu veidu rādītājus:
- KPI jeb galvenais veiktspējas rādītājs mēra, vai process darbojas atbilstoši gaidītajam.
- KRI jeb galvenais riska rādītājs signalizē par pieaugošu risku vai sliekšņa pārkāpumu, kam nepieciešama eskalācija.
Uzņēmuma Risku pārvaldības politika nosaka:
KRI (Key Risk Indicators) un drošības metrika jādefinē kritiskiem riskiem un jāuzrauga reizi mēnesī.
Tā arī prasa eskalācijas loģiku:
Eskalācijas ierosinātāji jāiestrādā uzraudzības loģikā (piemēram, ja atlikušais risks palielinās par vairāk nekā vienu līmeni vai tiek nokavēti apstrādes termiņi).
Mazākām organizācijām Clarysec Risku pārvaldības politika - SME izmanto samērīgu pieeju:
Riska mazināšanas progress jāpārskata reizi ceturksnī.
Tā pieļauj arī vienkāršotu metriku:
Var izsekot neformālu metriku (piemēram, atvērto risku skaitu, kavētās darbības, jaunus incidentus).
Šis samērīgums ir būtisks. Starptautiskai bankai un 60 cilvēku FinTech piegādātājam nav nepieciešama identiska telemetrija, taču abiem ir vajadzīgas piešķirtas īpašumtiesības, atkārtojama mērīšana, eskalācijas sliekšņi un pierādījumi par korektīvajām darbībām.
Praktisks KPI un KRI modelis NIS2 un DORA vajadzībām izskatās šādi:
| Joma | Kontroles pasākuma īpašnieks | KPI | KRI vai eskalācijas ierosinātājs | Pierādījumu periodiskums |
|---|---|---|---|---|
| Ievainojamību pārvaldība | Infrastruktūras vai DevOps vadītājs | Kritiskās ievainojamības novērstas apstiprinātā SLA ietvaros | Jebkura internetam pieejama kritiska ievainojamība ārpus SLA | Iknedēļas operacionālā pārskatīšana, ikmēneša ISMS pārskats |
| Incidentu pārvaldība | SOC vadītājs | 100 procenti incidentu klasificēti pēc smaguma pakāpes un pakalpojuma ietekmes | Potenciāls NIS2 nozīmīgs incidents vai DORA būtisks ar IKT saistīts incidents nav eskalēts darbplūsmā | Katru dienu incidenta laikā, ikmēneša tendenču pārskatīšana |
| Piegādātāju risks | Iepirkums un drošība | 100 procenti kritisko IKT piegādātāju risku izvērtēti pirms sākotnējās piesaistes | Kritiskais piegādātājs bez aktuālas pienācīgās pārbaudes, audita tiesībām, incidentu klauzulas vai izstāšanās plāna | Ikmēneša reģistra pārbaude, ceturkšņa piegādātāju pārskatīšana |
| Rezerves kopijas un atjaunošana | IT operācijas | Atjaunošanas testi kritiskajiem pakalpojumiem pabeigti noteiktajā intervālā | Neizdevies atjaunošanas tests kritiskai vai svarīgai funkcijai | Ikmēneša rezerves kopiju pierādījumi, ceturkšņa atjaunošanas tests |
| Piekļuves kontrole | IAM īpašnieks | Priviliģētā piekļuve pārskatīta cikla ietvaros | Bez īpašnieka esošs administratora konts vai izlaista priviliģētās piekļuves pārskatīšana | Iknedēļas izņēmumu skenēšana, ikmēneša apliecinājums |
| Drošības izpratne | Personāla funkcija vai drošības izpratnes īpašnieks | Obligātā apmācība pabeigta noteiktajā termiņā | Atkārtota pikšķerēšanas simulācijas neizpilde virs apstiprinātā sliekšņa | Ikmēneša apmācību pārskats, ceturkšņa izpratnes pārskatīšana |
| Atbilstības uzraudzība | ISMS vadītājs | Augsta riska pierādījumu vienības savāktas līdz noteiktajam termiņam | Pierādījumi kavēti vairāk nekā 10 darba dienas | Ikmēneša atbilstības informācijas panelis, ceturkšņa vadības pārskatīšana |
Šī metrika atbalsta vairāk nekā ISO/IEC 27001:2022 sertifikāciju. Tā atbalsta arī NIS2 kiberdrošības risku pārvaldības pasākumus, NIS2 incidentu ziņošanas gatavību, DORA IKT risku pārvaldību, DORA trešo pušu risku, GDPR pārskatatbildību, NIST CSF 2.0 pārvaldības rezultātus un COBIT stila veiktspējas pārvaldību.
Izveidojiet pierādījumu periodiskumu, pirms to pieprasa audits
Daudzas organizācijas vāc pierādījumus nejauši. Ekrānuzņēmums parādās Teams kanālā. Jira pieteikums ir piesaistīts e-pastam. Piegādātāja anketa tiek glabāta iepirkumā. Rezerves kopijas tests tiek aprakstīts mutiski. Audita nedēļā ISMS vadītājs kļūst par kriminālistisko izmeklētāju.
Nepārtraukta atbilstība prasa plānotu periodiskumu un sakārtotu pierādījumu higiēnu.
Clarysec Audita un atbilstības uzraudzības politika - SME nosaka:
Katram auditam jāietver definēta darbības joma, mērķi, atbildīgais personāls un nepieciešamie pierādījumi.
Tajā arī norādīts:
Pierādījumi jāglabā vismaz divus gadus vai ilgāk, ja to prasa sertifikācija vai klientu vienošanās.
Uzņēmuma organizācijām Audita un atbilstības uzraudzības politika pievieno automatizācijas gaidas:
Automatizēti rīki jāievieš konfigurācijas atbilstības, ievainojamību pārvaldības, ielāpu statusa un priviliģētās piekļuves uzraudzībai.
Automatizācijai jābūt mērķētai. Augsta riska un augstas periodiskuma kontroles pasākumi nedrīkst būt atkarīgi no manuāliem ekrānuzņēmumiem. Labākais pierādījumu modelis apvieno automatizētu telemetriju, īpašnieku apliecinājumus, izņēmumu žurnālus, pieteikumu ierakstus, testēšanas rezultātus un vadības pārskata protokolus.
| Periodiskums | Pierādījumu veids | Piemēri | Pārskatīšanas auditorija |
|---|---|---|---|
| Reāllaikā vai pēc notikuma | Drošības operāciju pierādījumi | SIEM brīdinājumi, incidentu klasifikācija, ievainojamību atklāšana, būtiska incidenta eskalācija | SOC, incidentu vadītājs, kontroles pasākuma īpašnieks |
| Reizi nedēļā | Operacionālo kontroles pasākumu pierādījumi | Kritisko ievainojamību statuss, priviliģētās piekļuves izņēmumi, rezerves kopiju uzdevumu atteices, konfigurācijas novirze | Kontroles pasākumu īpašnieki, ISMS vadītājs |
| Reizi mēnesī | KPI un KRI pierādījumi | Riska metrika, kavētās darbības, ielāpu SLA veiktspēja, piegādātāju reģistra izmaiņas | ISMS vadītājs, riska īpašnieks |
| Reizi ceturksnī | Pārvaldības un apliecinājuma pierādījumi | Riska apstrādes progress, piegādātāju pārskatīšana, piekļuves atkārtota sertificēšana, noturības testēšanas rezultāti | Riska komiteja, vadības struktūra |
| Reizi gadā vai plānotā ciklā | Neatkarīgas pārskatīšanas pierādījumi | Iekšējais audits, kontroles pasākumu testēšanas plāns, vadības pārskatīšana, politikas pārskatīšana | Augstākā vadība, auditori |
Svarīga ir arī nosaukumu konvencija. Pierādījumiem jābūt viegli izgūstamiem bez pārmērīgas piepūles. Piemēram:
- iknedēļas ievainojamību pārskats:
YYYY-MM-DD_Vulnerability-SLA_ControlOwner - ikmēneša priviliģētās piekļuves pārskatīšana:
YYYY-MM_IAM-Privileged-Review_Attestation - ceturkšņa piegādātāju pārskatīšana:
YYYY-QX_Critical-Supplier-Review - incidenta pakete:
INC-YYYY-###_Timeline-Classification-RCA-CAPA
Šeit politika kļūst operacionāla. Pierādījumu glabāšana nav arhivēšanas uzdevums. Tā ir daļa no kontroles pasākuma.
Sasaistiet vienu pierādījumu vienību ar daudziem pienākumiem
Nepārtraukta atbilstība kļūst spēcīga, ja viena pierādījumu vienība apmierina vairākus ietvarus. Tāpēc Zenith Controls ir centrāls Clarysec savstarpējās atbilstības pieejā.
Apsveriet incidentu apstrādi. Saskaņā ar NIS2 nozīmīgiem incidentiem nepieciešama pakāpeniska ziņošana, tostarp agrīnais brīdinājums 24 stundu laikā pēc informētības, paziņojums 72 stundu laikā un galīgais ziņojums viena mēneša laikā, ņemot vērā nacionālo transponējumu un incidenta faktus. DORA prasa finanšu vienībām pārvaldīt, klasificēt, eskalēt un ziņot par būtiskiem ar IKT saistītiem incidentiem, izmantojot noteiktos procesus un veidnes. GDPR prasa pārziņiem izvērtēt un pārvaldīt personas datu aizsardzības pārkāpumus, ja tiek ietekmēta personas datu konfidencialitāte, integritāte vai pieejamība.
Viena incidenta pierādījumu pakete var atbalstīt visas trīs prasības, ja tajā iekļauts:
- incidenta laika skala un apzināšanās laiks;
- klasifikācijas pamatojums;
- ietekmētie pakalpojumi un jurisdikcijas;
- ietekme uz klientiem, darījumiem vai lietotājiem;
- personas datu ietekmes izvērtējums;
- pamatcēlonis;
- mazināšanas un atjaunošanas darbības;
- komunikācija un paziņojumi;
- vadības eskalācijas ieraksts;
- korektīvās darbības ieraksts.
Tā pati savstarpējās atbilstības loģika attiecas uz piegādātāju risku. NIS2 prasa piegādes ķēdes drošību un uzmanību tiešajām piegādātāju un pakalpojumu sniedzēju attiecībām. DORA prasa IKT trešo pušu riska stratēģiju, reģistrus, pirmslīguma pienācīgo pārbaudi, līgumiskās klauzulas, audita tiesības, pakalpojumu līmeņus, izstāšanās stratēģijas un koncentrācijas riska uzraudzību. NIST CSF 2.0 piegādes ķēdes risku uzskata par dzīves cikla pārvaldības disciplīnu. ISO/IEC 27001:2022 sasaista šīs prasības ar darbības jomu, ieinteresēto pušu prasībām, riska apstrādi un ārēji nodrošināto procesu operacionālo kontroli.
Praktiska pierādījumu matrica palīdz kontroles pasākumu īpašniekiem saprast, kāpēc pierādījumi ir svarīgi:
| Pierādījumu vienība | NIS2 vērtība | DORA vērtība | ISO/IEC 27001:2022 vērtība | GDPR vērtība |
|---|---|---|---|---|
| Incidenta klasifikācijas ieraksts | Atbalsta nozīmīga incidenta izvērtēšanu | Atbalsta būtiska ar IKT saistīta incidenta klasifikāciju | Atbalsta incidentu kontroles pasākumu darbību un uzraudzību | Atbalsta pārkāpuma sākotnējās izvērtēšanas pārskatatbildību |
| Piegādātāju reģistrs | Atbalsta piegādes ķēdes drošību | Atbalsta IKT trešo pušu reģistru | Atbalsta ārēji nodrošināto procesu kontroli | Atbalsta apstrādātāju un apakšapstrādātāju pārraudzību |
| Ievainojamību SLA pārskats | Atbalsta kiberdrošības risku pārvaldības pasākumus | Atbalsta IKT aizsardzību un atklāšanu | Atbalsta riska apstrādi un ievainojamību pārvaldību | Atbalsta atbilstošus drošības pasākumus |
| Atjaunošanas testa pārskats | Atbalsta darbības nepārtrauktību un gatavību krīzei | Atbalsta operacionālo noturību un atjaunošanu | Atbalsta rezerves kopiju un nepārtrauktības gatavību | Atbalsta apstrādes pieejamību un noturību |
| Vadības pārskata protokols | Atbalsta vadības pārraudzību | Atbalsta vadības struktūras atbildību | Atbalsta vadību, veiktspējas pārskatīšanu un uzlabošanu | Atbalsta pārskatatbildības pierādījumus |
Šī pieeja novērš dublētu atbilstības darbu. Organizācija savāc vienu spēcīgu pierādījumu kopu un pēc tam sasaista to ar vairākiem pienākumiem.
Clarysec uzraudzības modelis: no pienākuma līdz īpašniekam un pierādījumam
Stabils uzraudzības modelis ievēro vienkāršu secību.
Pirmkārt, definējiet pienākumu. Piemēram, DORA prasa IKT trešo pušu risku pārvaldīt kā daļu no IKT risku pārvaldības, izmantojot reģistrus, pienācīgo pārbaudi, līgumiskās prasības, audita tiesības un izstāšanās stratēģijas kritiskām vai svarīgām funkcijām. NIS2 prasa piegādes ķēdes drošību un atbilstošas korektīvās darbības.
Otrkārt, pārvērtiet pienākumu ISO/IEC 27001:2022 ISMS prasībās. Tas ietver ieinteresēto pušu prasības, darbības jomu, risku izvērtēšanu, riska apstrādi, piemērojamības deklarāciju (SoA), operacionālo kontroli, uzraudzību, iekšējo auditu, vadības pārskatīšanu un uzlabošanu.
Treškārt, atlasiet operacionālos kontroles pasākumus. Zenith Controls ietvaros pamata pārvaldības kontroles pasākumi nepārtrauktai atbilstībai ietver ISO/IEC 27002:2022 kontroles pasākumus 5.2, 5.35 un 5.36. Atbalstošie kontroles pasākumi bieži ietver 5.19 Informācijas drošība attiecībās ar piegādātājiem, 5.21 Informācijas drošības pārvaldība IKT piegādes ķēdē, 5.22 Piegādātāju pakalpojumu uzraudzība, pārskatīšana un izmaiņu pārvaldība, 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā, 5.24 Informācijas drošības incidentu pārvaldības plānošana un sagatavošanās, 5.26 Reaģēšana uz informācijas drošības incidentiem, 5.30 IKT gatavība darbības nepārtrauktībai, 5.31 Juridiskās, normatīvās, regulatīvās un līgumiskās prasības, 8.8 Tehnisko ievainojamību pārvaldība, 8.13 Informācijas rezerves kopijas, 8.15 Žurnālfiksēšana, 8.16 Uzraudzības darbības un 8.9 Konfigurāciju pārvaldība.
Ceturtkārt, piešķiriet īpašnieku un periodiskumu. Piegādātāju risks var iesaistīt iepirkumu, juridisko funkciju, drošību un biznesa pakalpojuma īpašnieku, bet vienam atbildīgajam īpašniekam jāuztur reģistrs un jāziņo par izņēmumiem.
Piektkārt, definējiet KPI, KRI un pierādījumus. Piegādātāju KPI var ietvert kritisko IKT piegādātāju procentuālo daļu ar pabeigtu pienācīgo pārbaudi, procentuālo daļu ar apstiprinātām līguma klauzulām, skaitu bez testētiem izstāšanās plāniem un kavētu piegādātāju pārskatīšanu skaitu. KRI var ietvert neatrisinātus augsta riska piegādātāju konstatējumus, koncentrācijas risku virs tolerances vai trūkstošas audita tiesības pakalpojumam, kas atbalsta kritisku vai svarīgu funkciju.
Sestkārt, ziņojiet un eskalējiet. Ikmēneša ISMS informācijas paneļiem nevajadzētu tikai rādīt zaļu statusu. Tiem jāidentificē kavētie pierādījumi, riska izmaiņas, nokavētie apstrādes termiņi un nepieciešamie vadības lēmumi.
Septītkārt, auditējiet un uzlabojiet. Pierādījumu trūkumi kļūst par korektīvajām darbībām, nevis attaisnojumiem.
Tas saskan ar Zenith Blueprint audita, pārskatīšanas un uzlabošanas posmu. 25. solis, Iekšējā audita programma, iesaka audita ciklā aptvert attiecīgos ISMS procesus un kontroles pasākumus, veicot ikgadēju pilnas darbības jomas auditu un, kur piemēroti, mazākas ceturkšņa izlases pārbaudes augsta riska jomās. 28. solis, Vadības pārskatīšana, paredz tādus ievaddatus kā izmaiņas prasībās, uzraudzības un mērīšanas rezultātus, audita rezultātus, incidentus, neatbilstības, uzlabojumu iespējas un resursu vajadzības. 29. solis, Nepārtraukta uzlabošana, izmanto CAPA žurnālu, lai fiksētu problēmas aprakstu, pamatcēloni, korektīvo darbību, atbildīgo īpašnieku, mērķa datumu un statusu.
Tā izskatās nepārtraukta atbilstība praksē.
Praktisks scenārijs: kritiska ievainojamība publiskā API
Plkst. 02.15 aktivizējas SIEM brīdinājums. Ievainojamību skenēšana ir identificējusi kritisku attālināta koda izpildes ievainojamību publiski pieejamā API vārtejā, kas atbalsta regulētu maksājumu pakalpojumu.
Nepārtrauktas uzraudzības modelim jāreaģē, negaidot sanāksmi.
Pirmkārt, aktīvu uzskaite klasificē vārteju kā kritisku. Sākas ievainojamību pārvaldības KPI laika uzskaite. KRI neuzstādītām kritiskām ievainojamībām palielinās. Ja aktīvs ir internetam pieejams un izmantošanas paņēmiens ir aktīvs, eskalācijas slieksnis tiek iedarbināts nekavējoties.
Otrkārt, pieteikums tiek novirzīts dežurējošajai DevOps komandai. DevOps vadītājs kā ievainojamību pārvaldības kontroles pasākuma īpašnieks saņem automātisku paziņojumu. SOC vadītājs izseko, vai pastāv izmantošanas indikatori. ISMS vadītājs uzrauga, vai tiek izpildīti incidenta kritēriji.
Treškārt, pierādījumi tiek savākti kā darbplūsmas blakusprodukts. SIEM brīdinājums, ievainojamību skenēšana, aktīva klasifikācija, pieteikuma laikspiedoli, reaģēšanas sarakste, ielāpa ieraksts, validācijas skenēšana un slēgšanas apstiprinājums tiek pievienoti pierādījumu paketei.
Ceturtkārt, komanda izvērtē, vai notikums ir tikai ievainojamība, drošības notikums vai incidents. Ja pastāv pakalpojuma ietekme, kompromitācijas indikatori, klientu ietekme vai personas datu ekspozīcija, incidentu darbplūsma iedarbina NIS2, DORA, GDPR un līgumiskās ziņošanas izvērtēšanu.
Piektkārt, vadība saņem kodolīgu pārskatu. Ja ievainojamība tika novērsta četru stundu laikā, pierādījumi atbalsta kontroles efektivitāti. Ja SLA tika nokavēts, CAPA žurnāls fiksē pamatcēloni, korektīvo darbību, īpašnieku, mērķa datumu un statusu.
Šis viens notikums rada noderīgus pierādījumus ievainojamību pārvaldībai, incidentu gatavībai, uzraudzībai, piekļuvei kritiskajiem aktīviem, vadības pārskatīšanai un nepārtrauktai uzlabošanai.
Kā auditori un regulatori testēs to pašu uzraudzības modeli
Nobriedušai nepārtrauktas atbilstības programmai jāiztur dažādas audita perspektīvas. Pierādījumi nemainās, bet jautājumi mainās.
| Auditora skatījums | Iespējamais audita jautājums | Sagaidāmie pierādījumi |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai lomas ir piešķirtas, riski apstrādāti, kontroles pasākumi darbojas un pierādījumi tiek glabāti? | Darbības joma, ieinteresēto pušu prasības, riska reģistrs, piemērojamības deklarācija (SoA), īpašnieku reģistrs, uzraudzības rezultāti, iekšējais audits, vadības pārskatīšana, CAPA žurnāls |
| NIS2 regulators vai izvērtētājs | Vai vadība ir apstiprinājusi un pārraudzījusi atbilstošus kiberdrošības risku pārvaldības pasākumus? | Vadības protokoli, risku apstiprinājumi, incidentu darbplūsma, piegādātāju kontroles pasākumi, nepārtrauktības pierādījumi, apmācību ieraksti, korektīvās darbības |
| DORA kompetentā iestāde vai iekšējais audits | Vai IKT riska ietvars sasaista pārvaldību, noturību, testēšanu, incidentu ziņošanu, trešo pušu risku un audita turpmāko rīcību? | IKT riska ietvars, noturības stratēģija, incidentu klasifikācijas ieraksti, testēšanas rezultāti, piegādātāju reģistrs, līgumu pierādījumi, audita pārskati |
| NIST CSF 2.0 izvērtētājs | Vai organizācijai ir pārvaldības rezultāti, prioritizēti trūkumi, izmērāma veiktspēja un pārskatīšanas cikli? | Pašreizējie un mērķa profili, riska rīcības plāns, pārvaldības metrika, piegādes ķēdes pārraudzība, operacionālie KPI pārskati |
| COBIT 2019 vai ISACA auditors | Vai pārvaldības mērķi, vadības prakses, procesu īpašumtiesības, metrika un apliecinājuma darbības ir definētas un efektīvas? | RACI, procesu apraksti, veiktspējas metrika, izņēmumu pārskati, kontroles pasākumu testēšana, vadības pārraudzības ieraksti |
ISO/IEC 27002:2022 kontroles pasākuma 5.35 Neatkarīga informācijas drošības pārskatīšana gadījumā ISO/IEC 27001:2022 auditors koncentrēsies uz iekšējā audita plānu, darbības jomu, kompetenci, konstatējumiem un korektīvajām darbībām. NIS2 vai DORA regulators koncentrēsies uz to, vai vadība saprata konstatējumus, finansēja trūkumu novēršanu un samazināja sistēmisko risku. NIST CSF 2.0 izvērtētājs var sasaistīt pārskatīšanu ar GOVERN funkciju, tostarp pārraudzību un veiktspējas pielāgošanu.
Tā pati pierādījumu kopa kalpo visiem, ja tā ir pilnīga, aktuāla un sasaistīta ar īpašumtiesībām.
Biežākie trūkumi, kas vājina nepārtrauktu atbilstību
Pirmais trūkums ir attiekties pret NIS2 un DORA kā pret atsevišķiem projektiem. Tas rada dublētus reģistrus, konfliktējošu metriku un pārslogotus kontroles pasākumu īpašniekus. Izmantojiet ISO/IEC 27001:2022 kā ISMS mugurkaulu un kartējiet pienākumus caur vienu kontroles pasākumu bibliotēku.
Otrais trūkums ir kontroles pasākumu piešķiršana komandām, nevis cilvēkiem. “IT pārvalda rezerves kopijas” nav pietiekami. Vārdā nosauktam īpašniekam ir jāapliecina, jāziņo par izņēmumiem un jāeskalē risks.
Trešais trūkums ir pierādījumu vākšana bez efektivitātes izvērtēšanas. Ekrānuzņēmums par sekmīgu rezerves kopiju neapliecina atjaunojamību. To apliecina atjaunošanas tests. Piegādātāja anketa neapliecina trešās puses noturību. Līgumiskās klauzulas, audita tiesības, incidentu paziņošanas noteikumi, veiktspējas pārskati un izstāšanās plānošana rada spēcīgākus pierādījumus.
Ceturtais trūkums ir aktivitātes mērīšana riska vietā. Ievainojamību skaitīšana ir noderīga. Kavētu kritisko ievainojamību izsekošana internetam pieejamās sistēmās ir labāka. Piegādātāju skaitīšana ir noderīga. Kritisko piegādātāju bez izstāšanās plāniem izsekošana ir labāka.
Piektais trūkums ir vāja korektīvo darbību disciplīna. Zenith Blueprint 29. solis skaidri nosaka, ka konstatējumiem nepieciešams problēmas apraksts, pamatcēlonis, korektīvā darbība, atbildīgais īpašnieks, mērķa datums un statuss. Ja CAPA žurnāls netiek pārskatīts, nepārtraukta atbilstība kļūst par nepārtrauktu zināmu vājo vietu uzkrāšanu.
Kas vadībai jāredz katru mēnesi
Vadības struktūrām saskaņā ar NIS2 un DORA nav vajadzīgi neapstrādāti skenera eksporti. Tām ir vajadzīgs lēmumu pieņemšanai derīgs skatījums uz kiber un IKT risku.
Ikmēneša valdes vai vadības informācijas panelī jāiekļauj:
- būtiskākie kiber un IKT riski ar atlikušā riska izmaiņām;
- kavētie riska apstrādes pasākumi un nokavētie termiņi;
- nozīmīgi incidenti, būtisku ar IKT saistītu incidentu kandidāti un gūtās mācības;
- kritisko piegādātāju riska izņēmumi;
- ievainojamību SLA veiktspēja kritiskajiem aktīviem;
- rezerves kopiju un atjaunošanas testu statuss;
- priviliģētās piekļuves pārskatīšanas izņēmumi;
- atbilstības pierādījumu pabeigšanas rādītājs;
- audita konstatējumi un CAPA statuss;
- nepieciešamie resursu lēmumi.
Tas tieši atbalsta ISO/IEC 27001:2022 vadības pārskatīšanu un NIS2 un DORA pārvaldības gaidas. Tas saskan arī ar NIST CSF 2.0, kur vadošie darbinieki nosaka prioritātes, pārskatatbildību, resursus un riska apetīti, savukārt vadītāji pārvērš šīs prioritātes mērķa profilos un rīcības plānos.
Izveidojiet NIS2 un DORA pierādījumu ritmu jau šonedēļ
Lai sāktu, nav jāmēģina paveikt visu uzreiz. Noderīga pirmā nedēļa var būt vienkārša.
dienā izveidojiet kontroles pasākumu īpašnieku reģistru piecām jomām: pārvaldība un risku pārvaldība, incidentu pārvaldība un ziņošana, ievainojamību un ielāpu pārvaldība, piegādātāju un mākoņpakalpojumu risks, kā arī darbības nepārtrauktība un atjaunošana.
dienā katrai jomai definējiet vienu KPI un vienu KRI. Uzturiet tos konkrētus, izmērāmus un sasaistītus ar riska apetīti.
dienā sasaistiet katru pierādījumu vienību ar NIS2, DORA, ISO/IEC 27001:2022, GDPR un klientu apliecinājuma vērtību.
dienā nosakiet pierādījumu periodiskumu, glabāšanas vietu, nosaukumu konvenciju, glabāšanas noteikumu un pārskatītāju.
dienā izspēlējiet galda eskalāciju. Izmantojiet mākoņpakalpojuma nepieejamības vai kritiskas ievainojamības scenāriju. Apstipriniet klasifikāciju, regulatīvās ziņošanas izvērtēšanu, klientu komunikāciju, pierādījumu glabāšanu un CAPA izveidi.
Ja jūsu organizācija joprojām pārvalda NIS2 un DORA ar izklājlapām, ikgadējiem semināriem un izkaisītām pierādījumu mapēm, tagad ir īstais laiks pāriet uz uzraudzītu darbības ritmu.
Sāciet ar trim darbībām:
- Izveidojiet kontroles pasākumu īpašnieku reģistru augstākā riska jomām.
- Katram kontroles pasākumam definējiet vienu KPI, vienu KRI, vienu pierādījumu vienību un vienu periodiskumu.
- Veiciet 30 minūšu pierādījumu pārskatīšanu un atveriet CAPA vienības visam, kas trūkst.
Clarysec var palīdzēt paātrināt pāreju, izmantojot Zenith Blueprint ieviešanas secības noteikšanai, Zenith Controls savstarpējās atbilstības kartēšanai un Clarysec politiku bibliotēku, tostarp Informācijas drošības politiku, Risku pārvaldības politiku, Audita un atbilstības uzraudzības politiku, Pārvaldības lomu un atbildību politiku - SME, Risku pārvaldības politiku - SME un Audita un atbilstības uzraudzības politiku - SME.
Mērķis nav vairāk atbilstības dokumentu. Mērķis ir uz piektdienas pēcpusdienas jautājumu atbildēt ar pārliecību:
“Jā, mēs zinām, kam pieder kontroles pasākums, mēs zinām KPI, mums ir pierādījumi, mēs zinām izņēmumus, un vadība ir pārskatījusi risku.”
Sazinieties ar Clarysec, lai izveidotu nepārtrauktas atbilstības uzraudzības modeli, kas ir gatavs auditam, piemērots valdei un pietiekami noturīgs NIS2, DORA un nākamajam regulējumam, kas sekos.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
